Printable View
Здравствуте!
У меня вот какая проблема. Постоянно через какое-то вемя самопроизвольно возникает на экране окно с предупреждением "Generis Host Process for win32 serices - обнаружена ошибка" с предложением направить уведомление в сервисную службу Microsoft. Когда нажимаю "нет", всплывает окошко с извещением о перезагрузке через минуту. При этом информируется, что произошел удаленный вызов процедур (PPC) NT AVTHORITY/SYSTEM . Как это устранить? Помогите, если можете... Заране благодарен, Олег.
Выполнить скрипт:
[CODE]begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\servdll.dll','');
QuarantineFile('c:\windows\system32\winsersec.exe','');
QuarantineFile('c:\windows\winwd.exe','');
DeleteFile('c:\windows\winwd.exe');
DeleteFile('F:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
сделать заново логи + лог Гмер (см "Чаво")
Прислать карантин по Правилам.
все выполнил как было указано. Правда после выполнения скрипта комп сам перезагрузился (это нормально?). Жду дальнейших рекомендаций.
Перезагрузился - это нормально, так и должно было быть. Теперь вот это делайте:
[QUOTE=PavelA;454358]сделать заново логи + лог Гмер (см "Чаво")
Прислать карантин по Правилам.[/QUOTE]
Я же вроде посылал требуемые файлы после выполнения скрипта (файлы virusinfo_syscheck.zip, virusinfo_syscure.zip, hijackthis.log и gmer.log - всего четыре файла). Или они не дошли? или я что-то не так понял или не так сделал когда отправлял? Щас ещё раз прикрепил эти файлы, смотрите...
Сохраните текст ниже как cleanup.bat в ту же папку, где находится pm2m6r8p.exe (gmer)
[CODE]pm2m6r8p.exe -del service obvious
pm2m6r8p.exe -del file "C:\WINDOWS\System32\drivers\OBVIOUS.SYS"
pm2m6r8p.exe -del file "System32\DRIVERS\obvious.sys"
pm2m6r8p.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\obvious"
pm2m6r8p.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\obvious"
pm2m6r8p.exe -reboot[/CODE]И запустите cleanup.bat. Компьютер перезагрузится.
[B]Выполните скрипт в AVZ [/B](AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\winsersec.exe');
DelCLSID('{39b93300-516d-11d3-956b-00a0cc249acc}');
QuarantineFile('C:\WINDOWS\winwd.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\WINSEC.SYS','');
QuarantineFile('C:\WINDOWS\WSEC32HK.dll','');
QuarantineFile('C:\WINDOWS\system32\winsersec.exe','');
QuarantineFile('C:\WINDOWS\system32\servdll.dll','');
QuarantineFile('C:\WINDOWS\pcsecshext.dll','');
DeleteFile('C:\WINDOWS\pcsecshext.dll');
DeleteFile('C:\WINDOWS\system32\winsersec.exe');
DeleteFile('C:\WINDOWS\WSEC32HK.dll');
DeleteFile('C:\WINDOWS\winwd.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "[B][COLOR="Red"]Прислать запрошенные файлы[/COLOR][/B]" над первым сообщением темы).
Повторите логи AVZ + гмер.
Так. Похоже с реализацией первой вашей инструкцией ничего не получается Windows выдает пять сообщение по числу команд(строчек) в bat-ском файле cleanup.bat
на первую командную строку выдается сообщение: "DeleteService:Параметр задан неверно";
на вторую - "An error 0x00000002 occured during the deletion of file:"c:\windows\system32\drivers\OBVIOUS.SYS":не удается найти указанный файл"
на третью - "An error 0x00000003 occured during the deletion of file:"System32\DRIVERS\OBVIOUS.SYS":системе не удается найти указанный путь"
на четвертую, пятую - "DeleKey:параметр задан неверно"
И далее - перезагрузка... Более я ничего не предпринимал и жду от вас рекомендаций как поступить в данной ситуации.
p/s созданный файл cleanup.bat был размещен в указанном вами каталоге D:\GMER вместе с файлом pm2m6r8p.exe
Лог Гмера повторите.
ловите...
Чисто, повторите логи AVZ + HjT.
ловите еще раз...
Где карантин?
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\winsersec.exe');
StopService('winser');
QuarantineFile('C:\WINDOWS\pcsecshext.dll','');
QuarantineFile('C:\WINDOWS\WSEC32HK.dll','');
QuarantineFile('c:\windows\system32\winsersec.exe','');
DeleteFile('c:\windows\system32\winsersec.exe');
DeleteFile('C:\WINDOWS\WSEC32HK.dll');
DeleteFile('C:\WINDOWS\pcsecshext.dll');
DeleteService('winser');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('winser');
SetAVZPMStatus(True);
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Удалите [URL="http://virusinfo.info/showthread.php?t=27923"]Bonjour[/URL].
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
[B][COLOR="Red"]- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).[/COLOR][/B]
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.
[QUOTE]-[URL="http://virusinfo.info/showthread.php?t=7239"][COLOR=#0532aa]Выполните скрипт[/COLOR][/URL]:
[/QUOTE]
в этом скрипте какая-то ошибка (см. скриншот в прикрипленном файле)
Поправил замеченную опечатку.
P.S. Такое лучше на словах цитировать. Долго добираться - скачать, распаковать...
все проделано согласно ваших инструкций (в том числе и отправка карантиновских файлов)...
-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]:
[CODE]begin
QuarantineFile('C:\WINDOWS\system32\scg726.acm','');
QuarantineFile('C:\WINDOWS\winwd.exe','');
end.[/CODE]
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
Пока суд дело:
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]IE 8[/URL].
- Обновите [URL="http://www.java.com/ru"]Java RE[/URL].
- Обновите [URL="http://www.adobe.com/go/EN_UK-H-GET-READER"]Adobe Reader[/URL].
Выполнено и отправлено.
[QUOTE]- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.[/QUOTE]
насчет этой рекомендации пока проблемотично, т.к надо искать где-то ключ (геморрой с активацией мне не нужен)
[QUOTE=katon;459124]Выполнено и отправлено.[/QUOTE]C:\WINDOWS\winwd.exe - не попал. Поищите и пришлите плиз, приложение 2 и 3 правил.
А первый файл ОК.
[QUOTE=katon;459124]
надо искать где-то ключ (геморрой с активацией мне не нужен)[/QUOTE]Ищите, но не откладывайте в долгий ящик, а то геморрой от бесконечного лечения получите 8)
[QUOTE]C:\WINDOWS\winwd.exe - не попал. Поищите и пришлите плиз, приложение 2 и 3 правил.
[/QUOTE]
выполнил приложение 2 правил, но в протколе AVZ (основное окно) сообщение:
"Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\winwd.exe)
Карантин с использованием прямого чтения - ошибка"
Соответсвенно в окошке "Просмотр карантина" (приложение 3) пусто. Чё делать?:(
Поищите по п.1 : [url]http://virusinfo.info/showthread.php?t=4567[/url]
Лог virusinfo_syscheck.zip повторите.